De Nederlandse wetgever is bezig met het implementeren van de NIS2-richtlijn. Indien de NIS2-richtlijn van toepassing is op jouw organisatie, brengt dat een aantal verplichtingen met zich mee. De Rijksoverheid geeft het advies om nu al je beveiliging te verbeteren, omdat jouw organisatie dan niet alleen tegen bestaande risico’s beveiligd is, maar ook beter voorbereid is op de nieuwe wet- en regelgeving. Een goede voorbereiding is dus van belang!

Benieuwd naar de inhoud van de richtlijn? Lees dan onze eerdere blog over dit onderwerp!

Welke verplichtingen gelden voor mijn organisatie?

• Een organisatie moet zich allereerst registreren als zij onder de NIS2-richtlijn valt. Hoe deze registratie moet verlopen, zal duidelijk worden wanneer de wet zijn intrede doet. Wij kunnen hiermee helpen!
• De NIS2-richtlijn bevat een zorgplicht. Organisaties moeten zelf een verplichte risicobeoordeling uitvoeren om de digitale risico’s in kaart te brengen. Aan de hand daarvan kunnen passende maatregelen genomen worden, zodat netwerk- en informatiesystemen beschermd worden.
• Bij incidenten hebben organisaties een meldplicht. Op het moment dat een incident zich voordoet waarbij de verlening van de essentiële dienst van de organisatie aanzienlijk verstoord (kunnen) worden, moet de betreffende organisatie binnen 24 uur een melding doen bij de toezichthouder. Let op! Gaat het om een cyberincident, dan moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
• Organisaties komen onder toezicht te staan. Een onafhankelijke toezichthouder ziet toe op de naleving van de verplichtingen uit de NIS2-richtlijn. Op dit moment wordt bepaald welke sectoren onder welke toezichthouder zullen vallen. Hierbij is het van belang of jouw organisatie een essentiële entiteit of een belangrijke entiteit is. Voor essentiële entiteiten geldt een strenger bewind van toezicht. Voor meer informatie hierover, lees onze eerste blog over de NIS2-richtlijn.

Wat kun je als organisatie alvast doen om je voor te bereiden?

Controleer allereerst of je al voldoet aan de bestaande kaders voor netwerk- en informatiebeveiliging bij de overheid door het maken van een risicoanalyse en risicobeoordeling. Dit kan aan de hand van de volgende punten:

1. De digitale risico’s die relevant zijn vanwege de mogelijke verstoring van de organisatie
Denk bijvoorbeeld aan geautomatiseerde systemen waar jouw organisatie gebruik van maakt. Een potentieel risico zou dan een cyberaanval kunnen zijn.

2. De te beschermen belangen van de organisatie
Als jouw bedrijf een dienstverlenend bedrijf is dat met klantgegevens werkt, omvatten de te beschermen belangen bijvoorbeeld het handhaven van klantvertrouwen, het beschermen van klantgegevens en het voorkomen van onderbrekingen in de dienstverlening.

3. Welke maatregelen al genomen zijn om de belangen tegen de risico’s te beschermen
Dit kan bijvoorbeeld bestaan uit het regelmatig bijwerken van software en het implementeren van een sterke authenticatie voor klanten en medewerkers.

Neem zo nodig maatregelen om de organisatie beter te beschermen tegen deze risico’s. Zo ben je alvast goed op weg om de zorgplicht uit de NIS2-richtlijn te vervullen, de bestaande kaders zoals de basismaatregelen van het National Cyber Security Centrum (NCSC) en de basisprincipes van het Digital Trust Center zullen namelijk de basis hiervan zijn. Het is dus belangrijk om alvast aan de huidige verplichtingen te voldoen. Een paar voorbeelden van maatregelen zijn:

• Het opstellen van crisisbeheersingsprotocollen en bedrijfscontinuïteitplannen;
• Het vergroten van bewustwording van de risico’s en veiligheidsmaatregelen onder het personeel;
• Het identificeren van alternatieve toeleveranciers, zodat de continuïteit van de dienstverlening niet verstoord wordt bij het eventueel uitvallen van een toeleverancier.

Zorg er verder voor dat er in jouw organisatie procedures zijn waarmee incidenten gedetecteerd, gemonitord, opgelost en gemeld kunnen worden bij de Rijksinspectie Digitale Infrastructuur (RDI) en bij een Computer Security Incident Response Team (CSIRT).

Onlangs heeft de Rijksoverheid de NIS2-Quickscan geïntroduceerd. Dit is een hulpmiddel voor organisaties om zich voor te bereiden op de komst van de NIS2-richtlijn. Door het beantwoorden van 40 vragen krijg je als organisatie meer inzicht in de status van je cyberveiligheid. Per thema krijg je een score te zien. Ook worden er per thema verschillende technische en organisatorische maatregelen geplaatst die je kan gebruiken. De Quickscan is te vinden op de website van het National Cyber Security Centrum.

Meer weten of hulp nodig?

Omdat het wetsvoorstel nog niet in werking is getreden, is nog niet alles van de NIS2-richtlijn duidelijk. Wij houden de ontwikkelingen omtrent de NIS2-richtlijn nauwlettend in de gaten en kunnen helpen bij het toepassen van de verplichtingen in jouw organisatie. Neem contact met ons op via info@privacycoaches.nl of neem een kijkje op onze website!

De AI Act bevindt zich in de laatste fase van het wetgevingsproces. De definitieve tekst van de verordening is nog niet gepubliceerd, maar het is inmiddels wel duidelijk in welke risicocategorieën AI-systemen worden ingedeeld en welke verplichtingen voor iedere risicocategorie zullen gelden. Per risicocategorie leggen wij uit aan welke verplichtingen AI-systemen moeten voldoen.

AI-systemen met een onaanvaardbaar risico

Over AI-systemen met een onaanvaardbaar risico kunnen we het kort houden, want die zijn simpelweg verboden. Zodra de AI Act in werking treedt mogen dergelijke systemen niet meer worden verkocht en gebruikt in de EU.

Verplichtingen voor AI-systemen met een beperkt risico

Voor AI-systemen waarmee mensen kunnen interacteren (zoals chatbots) geldt dat mensen moeten weten dat zij interacteren met AI en niet met een persoon. Mensen die interacteren met AI moeten daarover worden geïnformeerd op een duidelijke en begrijpelijke wijze.

Verplichtingen voor AI-systemen met een hoog risico

De AI Act bevat voornamelijk voorschriften voor AI-systemen met een hoog risico. Hieronder bespreken wij de algemene verplichtingen die zullen gelden voor dergelijke systemen.

Een van de belangrijkste verplichtingen voor hoog risico AI-systemen is dat zij transparant moeten zijn. Dat houdt in dat de werking van het systeem begrijpelijk moet zijn voor de aanbieders en gebruikers van het systeem, zodat zij de output van het systeem kunnen interpreteren en uitleggen.

Daarnaast moet in de ontwerp- en ontwikkelingsfase van hoog risico AI rekening worden gehouden met de verplichting om gebeurtenissen automatisch te registreren door middel van logging. Als een gebeurtenis risico’s oplevert voor de gezondheid, veiligheid of rechten van personen of als het systeem ingrijpend wordt gewijzigd, dan moet dat worden geregistreerd. Andere zaken die moeten worden geregistreerd zijn bijvoorbeeld het energieverbruik van het systeem en de duur van elk gebruik van het systeem.

Bovendien moeten hoog risico AI-systemen zo worden ontworpen en ontwikkeld dat daarop menselijk toezicht kan worden uitgeoefend. Menselijk toezicht moet zich richten op het voorkomen en beperken van de risico’s van het AI-systeem. De personen die verantwoordelijk zijn voor het menselijk toezicht moeten met een kritische blik kijken naar de output van het systeem.

Wat betreft beveiliging schrijft de AI Act voor dat hoog risico AI-systemen moeten worden ontworpen en ontwikkeld volgens het principe van security by design. Daarnaast moeten technische maatregelen worden getroffen die het AI-systeem beschermen tegen manipulaties en aanvallen die zijn bedoeld om fouten te creëren of vertrouwelijke gegevens te bemachtigen.

Voordat een hoog risico AI-systeem in de handel wordt gebracht of in gebruik wordt genomen, moet de aanbieder of gebruiker technische documentatie van het AI-systeem opstellen. Die documentatie moet aantonen dat het systeem voldoet aan de voorschriften van de AI Act.

Ook moet een risicomanagementsysteem worden opgezet en uitgevoerd tijdens de gehele levensduur van het hoog risico AI-systeem. Daarvan moet documentatie worden bijgehouden. Risicomanagement bestaat uit:

• Het vaststellen, inschatten en evalueren van de bekende en voorzienbare risico’s van het AI-systeem;
• Het evalueren van opkomende risico’s die zijn vastgesteld door middel van data-analyse;
• Het treffen van passende maatregelen die zijn gericht op het aanpakken van bovenstaande risico’s.

Tot slot moeten hoog risico AI-systemen worden geregistreerd in de openbare EU-databank. Deze registratieverplichting geldt voor zowel aanbieders als gebruikers van hoog risico AI.

Advies over de AI Act nodig?

Wil jij meer weten over de verplichtingen die voor jouw AI-systeem zullen gelden? Of heb je andere vragen over de AI Act? Neem dan contact op met ons via info@privacycoaches.nl.

De EU heeft een nieuwe richtlijn op het gebied van cybersecurity ontworpen: de NIS2-richtlijn. De NIS2-richtlijn is de opvolger van de NIS1-richtlijn. NIS1 en NIS2 zijn Europese richtlijnen die als doel hebben eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging. Daarnaast proberen de richtlijnen de schadelijke gevolgen van cybercrime te beperken.

Nederland is sinds 2023 bezig om de richtlijn te implementeren in het Nederlandse rechtssysteem. Organisaties die onder de NIS2-richtlijn vallen, dienen zich te houden aan bepaalde veiligheidsnormen en meldingsvereisten voor incidenten.

De Nederlandse overheid heeft al laten weten dat ze de deadline voor het implementeren van de richtlijn niet gaat halen. Het is nog onduidelijk wanneer dit wel gaat lukken. Het is alsnog belangrijk om als organisatie alvast goed op de hoogte te zijn!

Wat is er anders?

Eén van de belangrijkste verschillen is dat er veel meer organisaties vallen onder de NIS2-richtlijn. De richtlijn richt zich niet alleen op grote essentiële organisaties die expliciet zijn aangewezen, zoals onder de NIS1-richtlijn. Organisaties vallen automatisch onder de NIS2-richtlijn als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als een ‘essentiële’ of ‘belangrijke’ entiteit. Er is dus een grotere kans dat jouw organisatie óók onder de NIS2-richtlijn valt. Ook is deze richtlijn relevant als je er zelf niet onder valt, maar jouw klanten wel. De eisen uit de richtlijn worden dan aan jou doorgelegd.

Welke sectoren en organisaties vallen onder de NIS2-richtlijn?

Allereerst moet jouw organisatie in Nederland gevestigd zijn en onder één van de volgende sectoren vallen:

Sectoren bijlage I

• Energie
• Transport
• Infrastructuur financiële markt
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur
• Afvalwater
• Overheidsdiensten
• Ruimtevaart
• Beheerders van ICT Diensten
• Bankwezen

Sectoren bijlage II

• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Vervaardiging

Zoals hiervoor benoemd moet de organisatie ook gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Essentiele entiteit

Hier vallen onder:

• Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn. Als jouw organisatie hieronder valt, dan ontvang je hier vanzelf bericht over vanuit de overheid. Hier hoef je zelf niets voor te doen.
• Grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel)

Een organisatie is groot op basis van de volgende criteria:

1. Minimaal 250 werknemers, of;
2. Een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Belangrijke entiteit

Hier vallen onder:

• Middelgrote organisaties die actief zijn in een sector uit bijlage I.

Een organisatie is middelgroot op basis van de volgende criteria:

1. Minimaal 50 werknemers, of;
2. een jaaromzet en balanstotaal van meer dan 10 miljoen euro

• Middelgrote én grote organisaties die actief zijn in een sector uit bijlage II.

Let op, jouw organisatie kan maar onder één van de twee type entiteiten vallen, essentieel óf belangrijk. Dit is van belang, omdat voor essentiële entiteiten andere verplichtingen gelden dan voor belangrijke entiteiten. Essentiële entiteiten krijgen een veel intensiever toezicht, waarbij het naleven van de verplichtingen voor- en achteraf wordt getoetst. Bij een belangrijke entiteit vindt het toezicht alleen achteraf plaats.

Uitsluitingsgronden

Het is belangrijk om te kijken of er uitsluitingen zijn voor jouw organisatie. Als dit het geval is, is de NIS2-richtlijn niet van toepassing voor jouw organisatie. Als er al sectorspecifieke cyberwetgeving van toepassing is op jouw organisatie en deze gelijkwaardig is aan de NIS2-richtlijn, gaat bijvoorbeeld de sectorspecifieke wetgeving voor.

Hulp nodig?

Wij houden alle ontwikkelingen omtrent de NIS2-richtlijn in de gaten, zo volgt er binnenkort een blog met meer informatie over de verplichtingen van de richtlijn. Wil jij weten of jouw organisatie onder de NIS2-richtlijn valt of dat er een uitsluiting geldt voor jouw organisatie? Neem dan contact met ons op via info@privacycoaches.nl en wij helpen je graag!

Artificial Intelligence (AI) heeft de afgelopen jaren een razendsnelle ontwikkeling doorgemaakt. De EU wil deze ontwikkeling in goede banen leiden en is daarom sinds 2021 bezig met het ontwerpen van wetgeving. Op 8 december 2023 heeft de EU een voorlopig akkoord bereikt over de AI Act: de Europese wet die binnenkort eisen zal stellen aan de ontwikkeling en het gebruik van AI.

Wat is het doel van de AI Act?

AI heeft veel nuttige toepassingen, maar helaas zijn er ook risico’s voor de gezondheid, veiligheid en rechten van burgers. Privacyschendingen, discriminerende algoritmen en softwarefouten bij zelfrijdende auto’s kunnen veel schade aanrichten. De AI Act heeft als doel om AI veiliger en transparant te maken.

Wie moet zich aan de AI Act houden?

De AI Act bevat regels voor aanbieders en gebruikers van AI. Aanbieders zijn bedrijven die AI-systemen verkopen aan of laten gebruiken door anderen in de EU. Oftewel: ontwikkelaars en verkopers van AI.

Gebruikers zijn personen, bedrijven en organisaties die AI-systemen gebruiken voor het uitvoeren van werkzaamheden. Denk bijvoorbeeld aan een onderneming die een AI-systeem gebruikt voor procesautomatisering, marketing of klantenservice.

Welke regels gelden voor mijn AI?

Dat hangt af van de risico’s van jouw AI-systeem. De AI Act maakt namelijk onderscheid tussen verschillende risicocategorieën en de verplichtingen verschillen per categorie. Kort gezegd: hoe hoger de risico’s, hoe strenger de regels.

Welke risicocategorieën zijn er?

1. Onaanvaardbaar risico: deze AI-systemen vormen zo’n groot risico voor mens en maatschappij dat ze verboden zijn. Voorbeelden hiervan zijn:

• Emotieherkenning op de werkvloer en in het onderwijs;
• Manipulatie van iemands gedrag;
• Ongerichte verzameling van gezichtsopnames vanaf het internet of camerabeelden om gezichtsherkenningsdatabases samen te stellen;
• Social credit scoring op basis van iemands gedrag en eigenschappen;
• Uitbuiting van iemands kwetsbaarheid (waaronder leeftijd, fysieke of geestelijke vermogens, of sociale of economische situatie).

2. Hoog risico: dit zijn AI-systemen die worden gebruikt in producten met strenge veiligheidseisen, zoals medische hulpmiddelen, motorvoertuigen, vaartuigen en vliegtuigen.

Daarnaast vallen bepaalde AI-systemen die worden gebruikt in een aantal specifieke sectoren (zoals onderwijs, werkgelegenheid, sociale zekerheid en krediet) ook binnen deze categorie. Denk bijvoorbeeld aan AI die besluiten neemt over het functioneren van werknemers. Of AI die iemands kredietwaardigheid beoordeelt. Voor deze systemen gelden de meeste regels.

3. Beperkt risico: dit zijn AI-systemen die geen onacceptabel of hoog risico voor mens en maatschappij vormen. Denk aan AI-systemen die:

• Interacteren met mensen, zoals chatbots;
• Emoties herkennen;
• Mensen indelen op basis van biometrische kenmerken, of;
• Beeld- of geluidsmateriaal genereren of bewerken.

Voor systemen met een beperkt risico gelden aanzienlijk minder verplichtingen. Wel gelden er nog wat extra regels voor general-purpose AI: AI-systemen die zijn ontworpen om een breed scala aan intelligente taken uit te voeren, zoals ChatGPT.

4. Laag risico: dit zijn alle AI-systemen die niet binnen een van de bovenstaande categorieën vallen. Voor deze systemen geeft de AI Act geen verplichtingen.

Ben jij een aanbieder of gebruiker van AI? Dan zul je dus eerst moeten inventariseren welke AI-systemen jouw onderneming gebruikt, om vervolgens te onderzoeken binnen welke risicocategorieën die systemen vallen. Benieuwd naar de specifieke verplichtingen die voor jouw AI-systeem zullen gelden? Hou dan onze website in de gaten, want dat leggen wij binnenkort uit!

Juridisch advies over de AI Act

Weet jij niet zeker onder welke risicocategorie jouw AI-systeem valt? Of heb je andere vragen over de AI Act? Neem dan contact op met ons via info@privacycoaches.nl en wij helpen je hiermee!

Wat is doxing?

In een eerder blog hebben we het gehad over ‘doxing’: het vergaren of verspreiden van persoonsgegevens van een ander, met het doel om die ander te intimideren. Denk hierbij aan adresgegevens, contactgegevens of andere gevoelige privé-informatie die vaak via openbare bronnen zoals sociale media, websites en/of registers worden verzameld.

Doxing is nu strafbaar

Sinds 1 januari 2024 is doxing wettelijk verboden. Door doxing strafbaar te maken, is een grote stap voorwaarts gezet. Eerder kon namelijk nauwelijks tegen doxing worden opgetreden. Aangifte was alleen mogelijk als er ook sprake was van een ander strafbaar feit zoals smaad, belediging, bedreiging of opruiing.

Nu kunnen de politie en het Openbaar Ministerie (OM) direct een opsporingsonderzoek starten wanneer er aangifte wordt gedaan van doxing. Daarnaast maakt de wet het gemakkelijker voor online platforms om te beoordelen of persoonsgegevens verwijderd moeten worden. Ook kunnen slachtoffers gerichter hulp krijgen bij het verwijderen van gegevens, bijvoorbeeld via een bevel van de officier van justitie.

Geldboete, werkstraf of gevangenisstraf

De kwade bedoeling van de dader is bepalend voor de strafbaarheid. Er moet sprake zijn van opzet bij de dader met de bedoeling om iemand angst aan te (laten) jagen, ernstige overlast te (laten) veroorzaken of ernstig te (laten) hinderen in de uitoefening van ambt of beroep.

Voor het bepalen van de strafeis maakt het OM gebruik van de ‘Richtlijn voor strafvordering doxing’. De straffen variëren van geldboetes en werkstraffen voor first offenders, tot gevangenisstraffen voor recidivisten.

Op doxing staat een gevangenisstraf die kan oplopen tot 2 jaar. Deze straf kan worden verhoogd met een derde wanneer doxing is gericht op personen met een specifiek beroep. Denk aan politici, wetenschappers, advocaten, rechters, burgemeesters, journalisten en politieagenten. De maximale geldboete is € 22.500,-. Bij de strafbaarheid wordt rekening gehouden met het aantal slachtoffers en de gevolgen.

Doel van de wetgeving

 Doxing is persoonlijk van aard en kan een grote impact hebben op het privéleven van het slachtoffer en zijn of haar omgeving. Iedereen kan slachtoffer worden. Het doel van de wet is een betere bescherming van personen en hun persoonsgegevens.

Ook draagt de wet eraan bij dat mensen met een publieke functie hun werk zonder belemmeringen of intimidatie kunnen uitvoeren. Nu daders van doxing kunnen worden gestraft, is een belangrijke stap gezet om de (digitale) veiligheid en privacy van individuen beter te waarborgen.

Advies over doxing nodig?

Heb jij vragen over doxing of wil je bijvoorbeeld advies over hoe je een geval van doxing het beste kunt aanpakken? Neem dan contact met ons op.

Zorgaanbieders zijn verantwoordelijk voor het leveren van kwalitatieve en veilige zorg. Nu e-health steeds belangrijker wordt, is het goed om stil te staan bij de privacywetgeving bij het gebruik van e-health.

Wat is e-health?

E-health houdt het gebruik van informatie- en communicatietechnologie in de zorg in, ook wel ‘digitale zorg’ genoemd. Het doel van e-health is om de gezondheidszorg te ondersteunen en/of te verbeteren. Denk bijvoorbeeld aan gezondheidsapps voor patiënten (zoals een app die de conditie helpt te verbeteren), een online afspraak met een huisarts, digitale patiënten- en cliëntendossiers en telemonitoring van patiënten met chronische aandoeningen.

De Europese Unie stimuleert het gebruik van e-health. Het heeft namelijk meerdere voordelen zoals tijdsbesparing en minder administratieve lasten. E-health maakt ook online vormen van samenwerken mogelijk, bijvoorbeeld tussen zorgverlener en patiënt. Hierbij worden persoonlijke en gezondheidsgegevens uitgewisseld. Het is dus van groot belang dat de privacy van de gebruikers van de digitale gezondheidszorg beschermd blijft. De regels uit de AVG gelden daarom ook voor e-health.

Privacywetgeving & e-health

Zorgaanbieders moeten rekening houden met een aantal punten op het gebied van privacywetgeving wanneer zij gebruikmaken van e-health toepassingen. Denk bijvoorbeeld aan de volgende verplichtingen:

1. Zorgaanbieders hebben een informatieplicht. Dit houdt in dat patiënten goed geïnformeerd moeten worden over wat er met hun persoonsgegevens gebeurt.
2. Het beginsel van dataminimalisatie: zorgaanbieders mogen niet méér gegevens van patiënten verwerken dan strikt noodzakelijk is.
3. Zorgaanbieders moeten zorgen voor een goede beveiliging van de patiëntgegevens.
4. Gegevensuitwisseling tussen zorgaanbieders is alleen toegestaan wanneer de patiënt geïnformeerd wordt én toestemming geeft voor deze uitwisseling.

Let op: dit zijn slechts enkele voorbeelden.

Het is dus voor het integreren van e-health toepassingen cruciaal om grondig te onderzoeken hoe dit de privacy van patiënten beïnvloedt. Daarvoor is het belangrijk om een overzicht te maken van datastromen, doelen, verantwoordelijkheden, beveiligingsmaatregelen en potentiële toekomstige behoeften met betrekking tot het gebruik van de verzamelde data.

Toezicht op e-health

De IGJ (Inspectie Gezondheidszorg en Jeugd) houdt toezicht op de naleving van de regelgeving bij e-health. Hiervoor gebruikt de inspectie het toetsingskader ‘Inzet van e-health door zorgaanbieders’. Dit kader biedt handvatten voor zorgaanbieders die e-health toepassingen willen gebruiken. Er wordt getoetst op 5 thema’s:

1. goed bestuur en verantwoord innoveren;
2. invoering en gebruik van e-health producten en diensten;
3. patiëntparticipatie;
4. samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens;
5. informatiebeveiliging en continuïteit.

Juridisch advies over e-health nodig?

De wetten rondom privacy en e-health zijn in volle ontwikkeling en voortdurend in beweging. Bij Privacycoaches houden wij al deze ontwikkelingen natuurlijk nauwlettend in de gaten.

Kun jij wel wat hulp gebruiken bij het toepassen van de privacywetgeving op jouw e-health product of dienst? Neem dan vooral contact met ons op via info@privacycoaches.nl; wij helpen je graag!

Op 21 september 2023 heeft de rechtbank Den Haag geoordeeld dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een schadevergoeding van € 500,- moet betalen vanwege een datalek. Het UWV stuurde brieven naar een verkeerd adres. Deze post bevatte onder andere medische gegevens met betrekking tot de arbeidsongeschiktheid van de betreffende vrouw.

De achtergrond van het geschil

In totaal stuurde het UWV vijf brieven naar het oude adres van de vrouw. De brieven bevatten informatie over haar psychische problemen en termijnen waaraan zij moest voldoen. Omdat ze die brieven niet ontving, overschreed ze de gestelde termijnen. Uiteindelijk ontving het UWV de brieven ongeopend retour.

Voorafgaand aan de rechtszaak hebben de partijen zelf nog geprobeerd een passende oplossing te vinden. Nadat de vrouw door het UWV op de hoogte was gesteld van het datalek vroeg zij het instituut om een schadevergoeding. Het UWV erkende aansprakelijk te zijn en bood een vergoeding van € 250,- aan.

Dat bedrag stond volgens de vrouw niet in verhouding tot de angsten die zij heeft doorstaan vanwege het datalek. Zij deed daarom een tegenvoorstel van € 3.000,- maar daarmee ging het UWV niet akkoord. De vrouw besloot naar de rechter te stappen.

De hoogte van de schadevergoeding

De vrouw onderbouwt haar vordering van € 3.000,- met een rapport van haar psycholoog. Daaruit volgt dat het datalek een belangrijke stressfactor is geweest die haar gezondheidstoestand negatief beïnvloedde en het herstel van haar arbeidsongeschiktheid belemmerde. Het overschrijden van de termijnen uit de brieven zorgde ervoor dat ze spanning en angst ervaarde bovenop haar bestaande psychiatrische klachten.

Volgens het UWV is de aangeboden schadevergoeding hoog genoeg, omdat de brieven ongeopend waren geretourneerd. De medische gegevens van de vrouw konden dus niet door een onbekende zijn ingezien. Ook is niet gebleken dat de gegevens door een onbekende zijn gebruikt.

Die laatstgenoemde omstandigheden wegen volgens de rechter niet zwaar. Dat later blijkt dat de brieven niet zijn geopend, doet namelijk niet af aan de angsten die de vrouw inmiddels al had doorstaan. De rechter oordeelt uiteindelijk dat een schadevergoeding van € 500,- passend is, met name vanwege de impact die het datalek heeft gehad op de psychische problemen van de vrouw.

Datalekken en immateriële schadevergoedingen

Beide partijen in deze zaak waren van mening dat de vrouw immateriële schade had geleden door het datalek en dat het UWV die schade moet vergoeden. De rechter hoefde daarom alleen te oordelen over de hoogte van de schadevergoeding.

Benieuwd naar de omstandigheden waarin een immateriële schadevergoeding kan worden toegekend aan slachtoffers van een datalek? Lees dan ook onze blog over immateriële schadevergoeding naar aanleiding van een datalek bij de Hogeschool Arnhem-Nijmegen.

Juridisch en strategisch advies bij een datalek

Bij een datalek komt veel kijken: denk aan communicatie (intern en/of extern), een melding bij de Autoriteit Persoonsgegevens en de afweging of sprake is van een hoog risico.

Kun je daarbij wel wat juridisch, strategisch en vooral praktisch advies gebruiken? Neem dan contact met ons op.

Toestemming als AVG-grondslag

Het verwerken van informatie over personen mag alleen als daar een grondslag voor is. Een van de mogelijke grondslagen is wanneer de betrokkene (degene wiens persoonsgegevens worden verwerkt) hiervoor toestemming geeft aan de verwerkingsverantwoordelijke. Die laatste is de organisatie onder wiens verantwoordelijkheid de persoonsgegevens worden verwerkt.

4 vereisten voor geldige toestemming

Om te kunnen spreken van geldige toestemming moet volgens de Algemene verordening gegevensbescherming (AVG) aan 4 eisen worden voldaan.

1. Allereerst moet de betrokkene zijn toestemming vrijelijk. Hiervan is sprake als de betrokkene zich niet gedwongen voelt om toestemming te geven.

Wanneer het weigeren of intrekken van toestemming nadelige gevolgen heeft voor de betrokkene en hij er alleen daarom voor kiest zijn toestemming te geven, is er dus geen sprake van een vrije keuze. In de relatie werkgever – werknemer is deze grondslag daarom vaak niet geschikt.

2. Ten tweede moet de betrokkene specifiek met de verwerking van zijn persoonsgegevens instemmen. Dit betekent dat de verwerkingsverantwoordelijke per keer voor één bepaald doel toestemming mag vragen.

Wanneer de verwerkingsverantwoordelijke de persoonsgegevens voor verschillende doelen wil gebruiken, moet hij voor ieder doel dus afzonderlijk toestemming vragen. Algemene toestemming verzoeken is ook niet toegestaan.

3. Ten derde moet de betrokkene vooraf geïnformeerd worden (het transparantiebeginsel). De verwerkingsverantwoordelijke moet de betrokkene tenminste informeren over de identiteit van de organisatie die de gegevens verwerkt, het doel van iedere beoogde verwerking, de soorten persoonsgegevens die worden verwerkt en het recht van de betrokkene om de gegeven toestemming weer in te trekken.

Deze informatie moet in eenvoudige, duidelijke taal en op een overzichtelijke manier worden opgesteld, zodat de betrokkene daadwerkelijk begrijpt waarvoor hij toestemming geeft. Lees hier meer over het transparantiebeginsel.

4. Als laatste moet de betrokkene zijn toestemming ondubbelzinnig. Hij moet door middel van een duidelijke, actieve handeling verklaren dat hij toestemming verleent. Het aanvinken van een vakje door de betrokkene zélf is een voorbeeld van ondubbelzinnige toestemming.

Het gebruik van op voorhand aangekruiste vakjes of het niet reageren op een verzoek tot toestemming door de betrokkene geldt níet als ondubbelzinnige toestemming.

Toestemming voor het verwerken van bijzondere persoonsgegevens

Sommige persoonsgegevens (zoals iemands etnische afkomst, politieke opvattingen, genetische gegevens of seksuele gerichtheid) bevatten gevoelige informatie. Deze bijzondere persoonsgegevens mogen daarom alleen worden verwerkt op basis van uitdrukkelijke toestemming.

Naast de bovengenoemde eisen voor gewone toestemming moet de betrokkene een expliciete verklaring van toestemming geven. Voorbeelden hiervan zijn: een (ondertekende) verklaring op papier of per e-mail, het invullen van een elektronisch formulier, het uploaden van een gescand ondertekend document of een elektronische handtekening.

Bewijs en de mogelijkheid van intrekken

Voor zowel gewone als bijzondere persoonsgegevens geldt dat de verwerkingsverantwoordelijke moet kunnen aantonen dat er geldig toestemming is verleend. Om dit te bewijzen is het daarom nuttig om bijvoorbeeld de toestemming te loggen.

Daarnaast moet de betrokkene zijn verleende toestemming voor ieder type persoonsgegevens te allen tijde weer kunnen intrekken, waarna gegevens niet langer mogen worden verwerkt. Alle verwerkingsactiviteiten die voorafgaand aan de intrekking hebben plaatsgevonden blijven geldig.

Toestemming verleend door kinderen

 Kinderen zijn zich mogelijk minder bewust van de risico’s en gevolgen van een gegevensverwerking. Voor verwerking van persoonsgegevens van kinderen jonger dan 16 jaar geldt daarom dat alleen de ouders of verzorgers toestemming mogen geven. De verwerkingsverantwoordelijke moet dan ook controleren of de toestemming daadwerkelijk is verleend door een persoon met ouderlijke verantwoordelijkheid voor het kind.

Hulp nodig bij de AVG?

Wil jij weten of je aan alle vereisten van toestemming voldoet of heb je hulp nodig met het inrichten van het toestemmingsvereiste? Neem dan contact met ons op via info@privacycoaches.nl en wij helpen je hiermee!

Wat is het recht op dataportabiliteit?

De personen van wie persoonsgegevens worden verwerkt, hebben meerdere rechten. Een daarvan is het recht op dataportabiliteit. Anders gezegd is dit het recht van betrokkenen om hun gegevens over te laten dragen door een verwerkingsverantwoordelijke.

Het doel van het recht op dataportabiliteit is om betrokkenen meer inzicht en controle te geven over de persoonsgegevens die van hen worden verwerkt en om de overstap naar andere dienstverleners te vergemakkelijken. Bijvoorbeeld wanneer je gaat verhuizen en overstapt naar een nieuwe tandarts: dataportabiliteit maakt het dan makkelijker om je gegevens van je oude tandarts over te dragen naar de nieuwe.

Betrokkenen kunnen de persoonsgegevens zowel aan zichzelf laten overdragen als (afhankelijk van de technische mogelijkheden) direct door laten sturen naar een andere organisatie.

Om welke gegevens gaat het?

Wanneer je als bedrijf een verzoek tot dataportabiliteit krijgt, moet je de volgende gegevens aan de betrokkene verstrekken:

• de persoonsgegevens van de betrokkene die digitaal en geautomatiseerd worden verwerkt. Persoonsgegevens die op papier staan, vallen hier dus niet onder; en
• de persoonsgegevens van de betrokkene die worden verwerkt op basis van toestemming (van de betrokkene); of
• de persoonsgegevens die verwerkt worden omdat dit noodzakelijk is voor het uitvoeren van de overeenkomst met de betrokkene.

Let op: onder deze gegevens vallen niet alleen de gegevens die de betrokkene zelf heeft verstrekt, maar ook de gegevens die indirect zijn verkregen door het gebruik van een dienst of apparaat. Bijvoorbeeld de zoekgeschiedenis van de betrokkene via zijn of haar account, of op welke locaties er betaald is met zijn of haar pinpas.

Welke gegevens vallen niet onder een verzoek tot dataportabiliteit?

Er zijn ook gegevens die buiten de scope van een verzoek tot dataportabiliteit vallen. Dit zijn bijvoorbeeld de afgeleide gegevens. Denk aan gegevens die je als bedrijf zelf hebt vastgesteld, zoals een analyse op basis van al eerder verstrekte gegevens.

Maar ook bij gegevensverwerkingen die niet gebaseerd zijn op toestemming of een contract, gegevens die niet zelf door de betrokkene zijn verstrekt of verwerkingen die noodzakelijk zijn voor de uitoefening van taken van algemeen belang hoeft een bedrijf niet te voldoen aan een verzoek tot dataportabiliteit. Ook anonieme gegevens hoef je niet over te dragen.

Hoe verstrek je de gegevens?

Wanneer je als bedrijf een verzoek tot dataportabiliteit krijgt, moet je de betreffende gegevens verstrekken op een gangbare manier waardoor ze voor de betrokkene eenvoudig te raadplegen zijn.

Daarnaast moet het voor de betrokkene makkelijk zijn om de verkregen informatie te kunnen hergebruiken of door te geven aan een andere organisatie. De wet schrijft dan ook voor dat je de gegevens op een gestructureerde manier en in een machineleesbaar format moet verstrekken aan betrokkenen of een andere organisatie. Bij machineleesbaar kan je denken aan een pdf- of Excel-bestand. Op deze manier maak je het zo makkelijk mogelijk om persoonsgegevens te hergebruiken of door te sturen.

Waar moet je op letten als bedrijf?

1. Allereerst is het belangrijk dat de betrokkenen, waarvan je persoonsgegevens verwerkt, op de hoogte worden gesteld van hun rechten. Onder deze rechten valt dus ook het recht op dataportabiliteit. Het moet voor betrokkenen duidelijk zijn dat zij dit recht hebben, maar ook hoe zij dit recht kunnen uitoefenen. Dit kan bijvoorbeeld met behulp van de privacyverklaring op jouw website.

2. Verder is het verstandig, wanneer je zo’n verzoek krijgt, om als bedrijf na te denken over het format waarin je de gegevens verstrekt. Hierbij kun je rekening houden met de wensen van de betrokkene en wellicht kijken naar het bedrijf waar de betrokkene de gegevens naar wil overzetten. Als bijvoorbeeld de nieuwe tandarts van de betrokkene de voorkeur geeft aan een pdf-bestand, maak je het hem zo makkelijk mogelijk door de gegevens ook in een pdf-bestand te verstrekken.

3. Let op dat wanneer je gaat bepalen welke gegevens verstrekt moeten worden aan de betrokkene, het belangrijk is dat de inhoud en betekenis van de gegevens zo goed mogelijk bewaard blijven. Op deze manier heeft de betrokkene het meeste aan zijn of haar gegevens. Denk bijvoorbeeld aan de datum en context waarin de gegevens zijn verschaft en met welk doel de gegevens door jou werden verwerkt.

Vragen of hulp nodig?

Het recht op dataportabiliteit kan door ondernemers als ingewikkeld worden ervaren. Wij vertellen je graag hoe je op een praktische manier gehoor kunt geven aan een verzoek tot dataportabiliteit en hoe je dit binnen jouw bedrijf kunt organiseren. Neem hiervoor gerust contact met ons op! Dit kan via info@privacycoaches.nl.

Op 4 oktober 2023 heeft de rechtbank Gelderland geoordeeld dat de Hogeschool Arnhem-Nijmegen (HAN) een schadevergoeding van € 300,- moet betalen aan een oud-student. Zijn persoonsgegevens, waaronder medische gegevens met betrekking tot zijn studievertraging, waren in handen van een hacker gekomen.

Het recht op schadevergoeding bij een datalek

Op grond van de Algemene verordening gegevensbescherming (AVG) kan een schadevergoeding worden toegekend als de AVG is geschonden. Met betrekking tot datalekken eist de AVG dat organisaties passende beveiligingsmaatregelen treffen. Dit betekent dat het beveiligingsniveau afgestemd moet zijn op de risico’s die een specifieke verwerking van persoonsgegevens met zich meebrengt. Als dat niet gebeurd is, levert dat dus een schending van de AVG op.

Daarnaast moet degene die een schadevergoeding eist daadwerkelijk schade hebben geleden door het datalek. Het kan dan gaan om financiële schade en/of immateriële schade.

Bij een datalek bestaat de immateriële schade van de betrokkene in ieder geval uit het kwijtraken van de controle over de eigen persoonsgegevens. Het feit dat niet te achterhalen is waar de gegevens circuleren is al eerder door de rechter aangemerkt als schade. Het is daarnaast niet zo dat immateriële schade alleen kan worden vergoed wanneer de door de betrokkene geleden schade een bepaalde mate van ernst bereikt. Lees daarvoor onze blog over massaschadeclaims.

Wél moet de betrokkene het bestaan van immateriële schade bewijzen. Dat is alleen anders als de aard en de ernst van de schending van de AVG met zich meebrengen dat nadelige gevolgen zodanig voor de hand liggen dat schade zonder verder bewijs kan worden aangenomen.

Factoren die bijdragen aan immateriële schade

In de zaak tussen de hogeschool en de oud-student oordeelde de rechtbank dat de beveiligingsmaatregelen ten tijde van het datalek niet passend waren. De hacker gebruikte namelijk een veelvoorkomende hackmethode waartegen de hogeschool bestand had moeten zijn. Bovendien heeft de hogeschool niet inzichtelijk gemaakt welke specifieke maatregelen zij had getroffen op de plek waar de gegevens van de oud-student werden bewaard. Ook heeft zij niet bewezen waarom beveiligingsmaatregelen zoals versleuteling en pseudonimisering niet passend waren.

Daarnaast oordeelde de rechtbank dat de oud-student immateriële schade heeft geleden door het datalek. Het lekken van de algemene persoonsgegevens (bestaande uit naam, adres, woonplaats, e-mailadres en telefoonnummer) is vervelend, maar heeft volgens de rechtbank niet tot schade geleid. Het lekken van de medische gegevens daarentegen wél.

De factoren die voor de rechtbank bijdroegen aan het oordeel dat sprake is van immateriële schade zijn:

• de zorgvuldigheid waarmee de oud-student met zijn medische gegevens omging;
• de deuk die zijn vertrouwen in het delen van bijzondere persoonsgegevens heeft opgelopen;
• de gevoelens van boosheid, spanning, vernedering en angst die hij ervaarde na het incident, en;
• zijn zorgen over wat er met de gegevens kan worden gedaan als iemand ze in handen krijgt.

Tot slot oordeelde de rechtbank dat alleen al het kunnen inzien van de medische gegevens door de hacker schade oplevert. Dat niet duidelijk is of de hacker ook iets met de gegevens heeft gedaan, doet daar niet aan af.

Vergelijkbare rechtszaken

Eerder waren er ook al rechtszaken waarin immateriële schade bij een datalek werd gevorderd. In een rechtszaak uit 2022 werd een verzoek om immateriële schadevergoeding – voor het kwijtraken van een dossier met daarin medische en andere persoonsgegevens dat per post was verzonden – afgewezen. Volgens de rechtbank was niet gebleken dat de gegevens bij een onbekende derde waren aangekomen, omdat de eiseres wiens gegevens in het dossier stonden geen phishingmails of andere verdachte berichten had ontvangen en er geen identiteitsfraude had plaatsgevonden met de gegevens.

In een andere rechtszaak uit 2022 werd een verzoek om immateriële schadevergoeding – voor het per ongeluk verzenden van een bestand met daarin gevoelige financiële gegevens en andere persoonsgegevens aan ongeveer 1100 personen – wel toegewezen. Doordat de gegevens waren verstuurd aan een aanzienlijke groep mensen was niet te achterhalen waar de gegevens circuleerden.

Hulp nodig bij (het voorkomen van) een datalek?

Kan jouw organisatie hulp gebruiken op het gebied van datalekken? Wij geven je juridisch en strategisch advies. Bij het voorkomen van een datalek, maar ook als zich een datalek heeft voorgedaan. Neem contact met ons op en we vertellen je graag wat we voor jou kunnen betekenen.